Cuidado, desenvolvedores Go! Módulos maliciosos ocultam malware destruidor de discos Linux

Pesquisadores de segurança cibernética descobriram três módulos Go maliciosos que contêm código ofuscado para buscar payloads de estágio seguinte capazes de sobrescrever irreversivelmente o disco primário de um sistema Linux, tornando-o inutilizável.

Os nomes dos pacotes são os seguintes:

• github[.]com/truthfulpharm/prototransform

• github[.]com/blankloggia/go-mcp

• github[.]com/steelpoor/tlsproxy

"Apesar de parecerem legítimos, esses módulos continham código altamente ofuscado projetado para buscar e executar payloads remotos", alertou Kush Pandya, pesquisador da Socket. Os pacotes são projetados para verificar se o sistema operacional em que estão sendo executados é Linux e, em caso afirmativo, recuperar um payload de estágio seguinte de um servidor remoto usando o comando wget.

O payload é um script destrutivo que sobrescreve todo o disco primário (/dev/sda) com zeros, impedindo efetivamente que a máquina inicialize. "Esse método destrutivo garante que nenhuma ferramenta de recuperação de dados ou processo forense possa restaurar os dados, pois ele os sobrescreve direta e irreversivelmente", explicou Pandya. "Esse script malicioso deixa servidores Linux ou ambientes de desenvolvimento visados completamente inutilizados, destacando o perigo extremo representado por ataques modernos à cadeia de suprimentos que podem transformar código aparentemente confiável em ameaças devastadoras."

A descoberta ocorre em um momento em que múltiplos pacotes npm maliciosos foram identificados no registro com recursos para roubar frases mnemônicas e chaves privadas de criptomoedas, além de exfiltrar dados confidenciais.

A lista dos pacotes, identificados pela Socket, Sonatype e Fortinet, inclui:

• crypto-encrypt-ts;

• react-native-scrollpageviewtest;

• bankingbundleserv;

• buttonfactoryserv-paypal;

• tommyboytesting;

• compliancereadserv-paypal;

• oauth2-paypal;

• paymentapiplatformservice-paypal;

• userbridge-paypal;

• userrelationship-paypal.

Pacotes maliciosos visando carteiras de criptomoedas também foram descobertos no repositório Python Package Index (PyPI) – web3x e herewalletbot – com a capacidade de desviar frases mnemônicas. Esses pacotes foram baixados coletivamente mais de 6.800 vezes desde sua publicação em 2024. Outro conjunto de sete pacotes PyPI foi encontrado utilizando servidores SMTP do Gmail e WebSockets para exfiltração de dados e execução remota de comandos, em uma tentativa de evitar a detecção.

Os pacotes, que já foram removidos, são: cfc-bsb (2.913 downloads), coffin2022 (6.571 downloads), coffin-codes-2022 (18.126 downloads), coffin-codes-net (6.144 downloads), coffin-codes-net2 (6.238 downloads), coffin-codes-pro (9.012 downloads) e coffin-grave (6.544 downloads). Esses pacotes usavam credenciais de contas Gmail codificadas para fazer login no servidor SMTP do serviço e enviar uma mensagem para outro endereço Gmail para sinalizar uma invasão bem-sucedida.

Posteriormente, estabeleciam uma conexão WebSocket para criar um canal de comunicação bidirecional com o invasor. Os invasores se aproveitam da confiança associada aos domínios Gmail ("smtp.gmail[.]com") e do fato de que proxies corporativos e sistemas de proteção de endpoint provavelmente não o sinalizarão como suspeito, tornando-o furtivo e confiável.

O pacote cfc-bsb se destaca dos demais, pois não possui a funcionalidade relacionada ao Gmail, mas incorpora a lógica WebSocket para facilitar o acesso remoto. Para mitigar o risco representado por essas ameaças à cadeia de suprimentos, os desenvolvedores são aconselhados a verificar a autenticidade dos pacotes, verificando o histórico do editor e os links do repositório GitHub; auditar as dependências regularmente; e aplicar controles de acesso rigorosos às chaves privadas.

"Fique atento a conexões de saída incomuns, especialmente tráfego SMTP, pois os invasores podem usar serviços legítimos como o Gmail para roubar dados confidenciais", alertou Olivia Brown, pesquisadora da Socket. "Não confie em um pacote apenas porque ele existe há mais de alguns anos sem ser removido."

Via - THN